IPTables是Linux系统中基本且非常常用的防火墙。netfilter提供了 5 个程序可以注册的钩子。
Netfilter和IPTables工作在哪一层?
- IP 数据包级别
- TCP/UDP 数据包级别
答案1
不会有一个简单的答案,因为 nftables/iptables 作用于这些模型的多个层。
最基本的ip[6]tables规则(或者nftable 的ip、ip6和inet地址族)主要作用于 OSI 网络层(TCP/IP 模型上的互联网层)。但是arptablesand ebtables(或nftables 的arp,bridge和netdev地址族)将在 OSI 数据链路层上运行,甚至基本ip[6]表也至少知道正在使用哪个数据链路(物理接口、聚合或虚拟接口)。
对于任何包含协议规范的规则(对于ip[6]tables,任何包含-p选项的规则;对于 nftables,任何带有protocol关键字的规则)也将在传输层上运行。
如果涉及连接跟踪,则意味着至少了解 OSI 会话层;任何实现 NAT 的东西都肯定会操纵会话层信息,并且如果nf_nat_ftp使用特定于协议的 NAT 模块(= 类似的模块),它们可能会根据特定协议/应用程序的需要到达 OSI 表示/应用程序层。
因此,您可以说 nftables(或 iptables + arptables + ebtables 的组合)几乎可以影响除物理层之外的任何 OSI 层。